Abcbot - 一種新的可進化的蠕蟲僵尸網絡惡意軟件瞄準 Linux
奇虎360的Netlab安全團隊的研究人員公布了一種名為"Abcbot"的新型僵尸網絡的細節,這種僵尸網絡在野外被觀察到具有蠕蟲般的傳播特征,以感染Linux系統,并針對目標發起分布式拒絕服務(DDoS)攻擊。
雖然僵尸網絡的最早版本可追溯到 2021 年 7 月,但最近觀察到的 10 月 30 日的新變種已配備其他更新,以攻擊密碼較弱的 Linux Web 服務器,并且容易受到 N 日漏洞的影響,包括自定義實施 DDoS 功能,表明惡意軟件正在不斷發展。
Netlab的發現也基于趨勢科技上月初的一份報告,該報告宣傳了針對華為云的攻擊,包括加密貨幣挖掘和加密劫持惡意軟件。入侵還值得注意的是,惡意外殼腳本特別禁用了旨在監控和掃描服務器以查找安全問題以及將用戶密碼重置到彈性云服務的過程。
現在,據中國互聯網安全公司稱,這些空殼腳本正被用來傳播Abcbot。迄今為止,總共觀察到了僵尸網絡的六個版本。
一旦安裝在受損主機上,惡意軟件將觸發一系列步驟的執行,這些步驟導致受感染的設備被重新用作 Web 服務器,此外,還可以將系統信息報告給命令和控制 (C2) 服務器,通過掃描打開端口將惡意軟件傳播到新設備,并在運營商提供新功能時自行更新。
"有趣的是,10 月 21 日更新的樣本使用開源ATK Rootkit來實現 DDoS 功能,"研究人員說,"這一機制要求 Abcbot 在執行 [a] DDoS 攻擊之前下載源代碼、編譯和加載根基模塊。
"這個過程需要太多的步驟,任何有故障的步驟都會導致 DDoS 功能的故障,"研究人員指出,導致對手在 10 月 30 日發布的后續版本中用自定義攻擊模塊替換現成的代碼,該版本完全放棄了 ATK Rootkit。
此前一個多星期,Netlab安全團隊披露了"粉紅"僵尸網絡的細節,據信該僵尸網絡感染了160多萬臺主要位于中國的設備,目的是發動DDoS攻擊,并將廣告插入不知情用戶訪問的HTTP網站。在相關開發中,AT&T 外星人實驗室從一種名為"BotenaGo"的新 Golang 惡意軟件中取出包裝,該惡意軟件已被發現使用超過 30 種漏洞攻擊數百萬路由器和物聯網設備。
研究人員總結道:"這六個月的更新過程與其說是功能的不斷升級,不如說是不同技術之間的權衡。"Abcbot 正在慢慢從嬰兒期走向成熟期。我們不認為這個階段是最終形式,顯然有很多改進領域或功能要發展在這個階段。
